Une nouvelle campagne visant les utilisateurs de macOS distribue le malware Atomic Stealer en abusant de l’application Script Editor dans le cadre d’une variante de l’attaque ClickFix, incitant les victimes à exécuter des commandes dans le Terminal.
Script Editor est une application intégrée dans macOS, conçue pour écrire et exécuter des scripts, notamment en AppleScript et en JXA. C’est un outil de confiance pré-installé sur les systèmes macOS.
Les chercheurs soulignent que, bien que cela ne soit pas la première utilisation de cette application pour la diffusion de malware, dans le cadre de la technique de manipulation sociale ClickFix, il n’est pas nécessaire que la victime interagisse manuellement avec le Terminal.
En plus de la variante basée sur le Terminal, la mise à jour macOS Tahoe 26.4 a introduit une protection contre les attaques ClickFix offrant un avertissement lors de l’exécution de commandes.
Une campagne observée par les chercheurs en sécurité de Jamf cible les victimes à travers des sites thématiques Apple faux, se présentant comme des guides pour libérer de l’espace disque sur leurs ordinateurs Mac.
Ces pages présentent des instructions de nettoyage système apparemment légitimes, mais exploitent le schéma d’URL applescript:// pour lancer Script Editor avec un code exécutable prérempli.
Invite à ouvrir le Script Editor à partir de la page web malveillante
Source: Jamf
Le code malveillant exécute une commande obfusquée ‘curl | zsh’, téléchargeant et exécutant un script directement dans la mémoire système.
Ce dernier décode un payload base64 + gzip, télécharge un binaire dans le répertoire /tmp (nommé helper), supprime les attributs de sécurité via ‘xattr -c’, le rend exécutable et l’exécute.
Le payload final est un binaire de type Mach-O identifié comme Atomic Stealer (AMOS), un malware proposé en tant que service qui a été largement déployé dans des campagnes ClickFix utilisant divers appâts au cours de l’année passée.
Ce malware cible un large éventail de données sensibles, y compris des informations stockées dans le Keychain, sur le bureau, et dans les extensions de portefeuille de cryptomonnaie des navigateurs, ainsi que les données de remplissage automatique, mots de passe, cookies et cartes de crédit stockées.
L’année précédente, AMOS a aussi intégré un composant de porte dérobée pour offrir aux opérateurs un accès persistant aux systèmes compromis.
Les utilisateurs de Mac doivent considérer les invites de Script Editor comme hautement risquées et éviter de les exécuter sur leurs appareils, sauf s’ils comprennent entièrement leur fonctionnement et font confiance à la ressource.
Pour les guides de dépannage macOS, il est conseillé de ne se fier qu’à la documentation officielle d’Apple.
Les communautés de support d’Apple, où les utilisateurs peuvent s’entraider, ne sont pas totalement exemptes de risques.